日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

作者丨Owen Garrett

譯者丨陳峻

策劃丨孫淑娟

??據統(tǒng)計??，隨著云服務在各個新興行業(yè)的爆炸式增長，全球已有 50% 的企業(yè)數(shù)據存儲到了云端。各個企業(yè)從中獲取到的好處包括但不限于：提高服務的敏捷性、易于擴展、以及更具成本效益。

不過，如果我們從安全性的角度來考慮的話，事情就不那么樂觀了。一直以來，有不少人認為，將一個企業(yè)最有價值的大部分(甚至是全部)資產，拱手交給第三方云平臺，是充滿挑戰(zhàn)的。我們應該想方設法從云服務提供商處，獲取 7*24 小時、全天候的安全支持，以保護自己的應用部署和數(shù)據存儲。那么，光靠云服務提供商的安全防護夠嗎?顯然不夠，我們還得發(fā)揮主觀能動性。

常言道：知易行難。下面我將和您重點探討云安全的基本概念，以及正確實現(xiàn)云端數(shù)據保護的十條“軍規(guī)”。

責任共擔模型

云端的安全性，往往需要遵循一種被稱為??“責任共擔”的模型??。該模型規(guī)定：服務提供商只對“云服務”的安全性負責，而租戶需要對“云服務中具體部分”的安全性負責。也就是說，在使用云服務運行自己的應用時，作為云服務的租戶，您仍然需要按比例分擔安全配置或管理的部分工作。當然，使用云服務的程度不同，您的責任范圍可能存在著巨大的差異性。例如：若您訂閱了基礎設施即服務 (IaaS)，則您需要自行負責操作系統(tǒng)的相關補丁和更新工作。而如果您只是用到了對象存儲，那么您的職責范圍將僅限于數(shù)據丟失的防護(DLP)。

雖然具體的應用場景存在著巨大的多樣性，但是我們有必要從中找出一些通用的準則。例如，絕大多數(shù)云服務的漏洞在本質上都能被歸結為：錯誤配置。就算云服務提供商已經為您提供了強大的安全工具，如果您不慎或者是不會用的話，在安全配置中也會存在錯誤或漏洞，進而會無形中拉低了整體應用服務的安全態(tài)勢。因此，為了合理有效地構建出云端“護欄”，我們需要在既知其然、又知其所以然的基礎上，盡量減少錯誤發(fā)生的可能性、及其影響范圍。

在我們開始討論十項重要的云端安全防護策略之前，讓我們先了解一下，與“傳統(tǒng)”信息安全相比，云端安全到底有哪些不同之處。

了解云端安全的 3 個關鍵點

由于云基礎架構往往處于一個動態(tài)的網絡環(huán)境中，因此其中的各個組件也是不斷變化的?？傮w而言，云端安全性的目標就是，要通過確保系統(tǒng)能夠按照預期運行，并能夠維持其整體的安全態(tài)勢。為此，我們有必要重新認識如下三個關鍵性概念：

• 邊界：傳統(tǒng)安全性的本質是基于保護一個受信任的邊界，即所謂的“堡壘(fortress)”。然而，分布在互聯(lián)網上的云服務環(huán)境，則具有能夠動態(tài)衍生出多個相互連接的端點和層次的特點。因此，任何云安全模型都應該以身份認證和訪問管理為中心，專注于加強對于可疑帳戶的權限管控(這通常需要依賴于行為建模)。
• 可擴展性：由于數(shù)據的存儲和處理都是動態(tài)的，因此云安全框架也應該能夠考慮到基礎設施的演變。換句話說，它需要了解系統(tǒng)的狀態(tài)，根據策略做出相應的調整。
• 監(jiān)控：隨著云端資源的豐富、以及新的攻擊源頭的出現(xiàn)，針對云服務的威脅態(tài)勢也在瞬息萬變。各種安全風險的激增，漏洞的深藏，以及攻擊的復雜化，都需要我們通過持續(xù)監(jiān)控，快速掌握現(xiàn)有云端安全環(huán)境的變化，并能夠對動態(tài)的系統(tǒng)做出及時且積極的反應與處置。

提高云端安全性的十項“軍規(guī)”

規(guī)則 1：不要忽視開發(fā)用的密鑰與證書

由于供職于一家需要每天持續(xù)掃描數(shù)以百萬計的公、私有代碼庫的公司，我們深知構建健全的密鑰與證書政策的重要性。您應該確保自己的開發(fā)人員僅使用短期有效的證書密鑰，并在投入正式的生產環(huán)境之前，撤銷這些僅作開發(fā)用途的證書，并且應當執(zhí)行包括檢測和管理存儲庫中的證書等，各項完備的設置與檢查。我的一位資深客戶就曾指出(https://www.itcentralstation.com/product_reviews/gitguardian-internal-monitoring-review-671614-by-danny)：如果有人跟他說，密鑰與證書檢測并非優(yōu)先事項的話，他會通過在Google 上自定義搜索，來證明展示證書密鑰泄露的危害性。這也正是我為何將其放在列表首位的原因。

規(guī)則 2：持續(xù)查看默認配置

云服務提供商通常會預先配置好一些通用的訪問控制策略。這些策略雖然易于快速上手，但是正是由于其通用性，導致了它們不一定適用于您的真實應用服務，特別是在有新的云服務被引入時，它們往往需要在默認控制策略的基礎上，進行定制化的配置。當然，您也可以通過選擇禁用不必要的配置、或未使用到的服務，來減少受攻擊面。

規(guī)則 3：列出所有可被公開訪問的存儲

對于云端存儲被攻擊者通過可開放訪問的接口進行入侵之類的新聞，您也許已經司空見慣了?？梢姡瑹o論您為對象和數(shù)據選擇哪種存儲方法，請檢查并確保只公開那些需要被訪問的組件和存儲。

規(guī)則 4：定期審查訪問控制

如前所述，云服務的安全性與您的身份認證、及訪問管理策略密切相關。隨著基于身份的安全系統(tǒng)，在整體安全措施中逐漸占據主導地位，它們形成了所謂的“零信任(zero-trust)”策略的基礎。作為實踐，我們可以積極主動地實施“最小特權原則”，對云端的服務、系統(tǒng)、以及網絡的訪問進行安全加固。同時，我們也應當定期安排手動和自動化的檢查方式，來審查管控的執(zhí)行是否嚴格。

規(guī)則 5：利用網絡結構

上述類似的規(guī)則和實踐也適用于網絡結構。您應該利用云服務平臺提供的控制工具，來構建更高效、更細粒度的策略，實現(xiàn)對訪問請求的仔細檢查，并按需分流。

規(guī)則 6：預防性記錄和監(jiān)控

沒有強大的監(jiān)控和日志記錄，我們將無法獲悉當前應用的安全態(tài)勢。通過基于風險的日志記錄策略，您不但應該確保違規(guī)監(jiān)控的啟用和正常運行，還可以在安全事件發(fā)生之后，協(xié)助開展各項調查工作。在理想情況下，您應當能夠通過 API、或其他機制，在自己的日志系統(tǒng)上，聚合來自各種云端的日志。

規(guī)則 7：完善您的資產清單

縱然我們可以使用由云服務平臺提供的 API，來減輕庫存管理的巨大壓力，也應該通過有關所有權、用例、以及敏感性級別等附加信息，通過定制化的策略，來完善自己的云端資產清單。

規(guī)則 8：提防 DNS 劫持

各類云服務經常需要通過、并在 DNS 條目之間傳遞信任關系。因此，定期檢查您的 DNS 的正確性和云應用的配置，可以有效地以防止出現(xiàn) DNS 被毒化、接管、以及劫持等情況的發(fā)生。

規(guī)則 9：災難恢復計劃并非只是可選項

云服務環(huán)境雖然提高了應用系統(tǒng)的可用性，但是它并不會提供自動化的災難恢復 (DR) 服務。您應該全面考慮通過何種級別的投資，來應對云端環(huán)境可能發(fā)生的災難性事件。您可以設計一套 DR 流程，以便通過外部帳戶、提供商、甚至是在本地環(huán)境中恢復自己的應用服務。

規(guī)則 10：減少手動配置

云原生安全工具和控制往往是以自動化的形式交付的。請記住，漏洞源于錯誤配置，而錯誤配置通常源于手動操作。因此，對于我們人類而言，需要完成的手動工作越多，出錯的可能性就越大。對此，您需要鼓勵自己的團隊善用、多用自動化，盡可能地使用安全即代碼(security-as-code)的方式，保持安全策略的一致性。

小結

對于安全專業(yè)人員而言，云應用安全的管理是極富挑戰(zhàn)性的。畢竟在云端，責任范圍變得不再靜止，不再清晰，且不斷變化。不過，值得慶幸的是，在應對各項新的安全需求、應對新的威脅時，我們不再是單兵作戰(zhàn)了。各個云服務提供商平臺往往能夠提供豐富的工具集，方便我們在安全需求和靈活性之間取得平衡。希望我上文為您提供的 10 條安全軍規(guī)，能夠方便您更全面地制定出防護措施，并構建出更好的云端安全性態(tài)勢。

網站名稱：提高云端數(shù)據安全的十條“軍規(guī)”
轉載來于：http://m.5511xx.com/article/dpsiico.html